2.9. Seguridad ligada a los recursos humanos
Se establecen una serie de controles, que debe aplicar la organización para mantener la seguridad de la información, que prevengan un uso inadecuado de la información por parte de los empleados antes de trabajar en la empresa, durante su período de trabajo y una vez se ha extinguido su contrato de trabajo con la misma.
Para ello, se pone una especial atención a la necesidad de establecer una serie de obligaciones contractuales que comprometan a todos los empleados, contratistas, proveedores y demás usuarios a cumplir con unos compromisos, funciones y responsabilidades.
También se establece como control fundamental la definición y documentación específica de cada uno de los roles de los empleados y usuarios de la información, en concordancia con la política de seguridad de la organización.
2.10. Seguridad física y del entorno
Este capítulo describe una serie de controles que pueden servir para evitar el acceso físico no autorizado, daño o interferencia a las instalaciones y a la información de la organización.
Los medios físicos de procesamiento de información deben estar situados en áreas seguras, protegidas por perímetros de seguridad definidos, con barreras de seguridad y controles de entrada y salida apropiados. La información crítica y confidencial debe tener un mayor nivel de protección física ante accesos no autorizados y amenazas físicas y ambientales; por ejemplo, protección del sol directo o de exceso de polvo en oficinas con maquinaria, etc.
Aplicación práctica
En la empresa en la que trabaja le acaban de encomendar la evaluación de los distintos riesgos a los que se somete la empresa y el diseño de una serie de medidas y buenas prácticas para disminuir estos riesgos. En estos momentos se encuentra analizando los riesgos que puede haber al dejar entrar libremente a una persona externa de la organización. ¿Qué riesgo supondría este hecho? ¿Cómo lo evitaría?
SOLUCIÓN
El hecho de dejar entrar a cualquier persona sin ningún tipo de control pone en grave riesgo a la empresa, ya que esta persona puede acceder a información confidencial y hacer un mal uso de la misma. También puede manipular esta información libremente en perjuicio de la empresa. Para evitar estos riesgos, se recomienda establecer controles de entrada y salida (como, por ejemplo, registros de entrada y salida, establecimiento de sistemas de autenticación, etc.) de personas para que solo aquellos que estén autorizados puedan acceder a las zonas más vulnerables.
2.11. Gestión de las comunicaciones y operaciones
El objetivo aquí está en asegurar un correcto y seguro funcionamiento de los medios de procesamiento de la información. Para ello, hay que establecer los procedimientos de operación, detallando las personas responsables de cada uno de los pasos a seguir.
También se elaboran y documentan procedimientos de actuación por si surge cualquier tipo de incidencia, para reducir riesgos de negligencias o de un mal uso del sistema de información.
También es importante tratar la gestión de la información con terceros, indicando que las organizaciones deben mantener el nivel de seguridad apropiado de la información, además de cumplir con la entrega de los servicios, siguiendo los requerimientos descritos entre la organización y el tercero en el acuerdo de entrega del servicio.
Unos ejemplos de procedimientos operativos recomendados (tanto a nivel interno como externos) son los siguientes:
1 Control de los cambios en los medios de procesamiento de la información. Identificación y registros de cambios significativos.
2 Realización de copias de seguridad o backups, definiendo el nivel necesario de respaldo de cada información.
3 Segregación de las responsabilidades.
4 Establecer controles nuevos para solucionar incidentes de la seguridad de la información y para mejorar la seguridad.
5 Establecer una política formal que prohíba el uso de software que no esté autorizado.
6 Realizar revisiones periódicas del software.
7 Implementación de controles para garantizar la seguridad de la información en las redes.
8 Establecer acuerdos de intercambio de información con terceros.
Nota
Las responsabilidades deben estar segregadas entre distintos miembros de la organización para reducir las posibilidades de un mal uso de los activos de la entidad.
Se debe establecer una serie de procedimientos formales que sirvan para asegurar el acceso del usuario autorizado y, por otro lado, evitar el acceso no autorizado a los sistemas de información de la organización.
Algunas de las medidas que se proponen son las siguientes:
1 Asegurar solo los accesos autorizados mediante el uso de identificadores (o IDs) de usuarios únicos, definiendo distintos niveles de acceso, permitiendo el uso de IDs grupales solo cuando sea estrictamente necesario.
2 Eliminar o bloquear los derechos de acceso a los usuarios que han cambiado de puesto o que han finalizado su relación contractual con la organización.
3 Controlar la asignación de claves secretas mediante un proceso de gestión formal.
4 Revisar formalmente, por parte de la gerencia, los derechos de acceso de los usuarios de modo periódico.
5 Mantener a los usuarios informados y advertidos de una correcta utilización de claves secretas y de la responsabilidad que ello conlleva.
6 Establecer políticas de escritorio limpio. Por ejemplo, la información confidencial o crítica debe ser guardada bajo llave cuando no está siendo utilizada.
7 Controlar el acceso a los servicios de redes internas y externas, evitando el acceso no autorizado a los servicios de la red.
8 Restringir el acceso a los sistemas operativos solo a los usuarios autorizados, mediante sistemas de autenticación apropiados y el registro de los usos del sistema.
9 Establecimiento y adopción de medidas de seguridad que protejan contra los riesgos de utilizar medios de computación y comunicación móvil.
10 Establecimiento y definición de procedimientos de las actividades de teletrabajo.
Actividades
1. Señale si considera adecuadas las medidas recomendadas para el control de acceso de usuarios autorizados, y proponga medidas adicionales.
2.13. Adquisición, desarrollo y mantenimiento de los sistemas de información
El diseño e implementación del sistema de información es vital para la seguridad. Por ello, es necesario garantizar que la seguridad sea una parte integral de los sistemas de información.
Para que esta garantía sea real, antes de desarrollar e implementar los sistemas de información es necesario identificar y acordar los distintos requerimientos de seguridad de cada área de la organización implicada en dicha implementación. La identificación de los requisitos de seguridad se realiza en la fase de requerimientos de un proyecto.
2.14. Gestión de incidentes de seguridad de la información
Cualquier incidente o debilidad que afecte a la seguridad de la información debe ser comunicado correctamente a los responsables del establecimiento de las medidas correctivas oportunas.
Читать дальше